开源软件库生态治理技术研究综述:二十年进展

在“人-机-物”三元融合、泛在计算的时代蓝海下,“开放多变”“需求多样”和“场景复杂”的软件部署和运行环境对开源软件库生态的治理技术提出了更多需求和更高期望.为进一步推动构建可信软件供应链生态,围绕泛在计算模式、打造自主可控的技术体系,聚焦于开源软件库管理生态,收集近20多年来(2001–2023)发表于软件工程领域较高影响力的学术期刊和会议的348篇论文,对开源软件库生态治理技术的研究工作进行梳理.讨论开源软件库生态的建模与分析、演化与维护、质量保证和管理等方面的工作,总结研究现状、问题、挑战与趋势.

基于特色项目制与开源人才培养的软件工程专业学位研究生创新能力培养实践

引言.专业学位研究生创新能力培养关系到学生未来的科研发展和个人成就,建立多元创新能力评价,树立正确的价值导向,成为了专业学位研究生教育改革的重要内容。以浙江大学软件工程领域为例,探索引导学生更多采用除学术论文以外的专利、重大工程、开源贡献等作为创新能力评价成果,以特色项目制人才培养提升学生解决面向国家和行业重大工程问题能力,以开源培养提升学生软件工程开放创新能力。

基于开源Quantum ESPRESSO软件的固体物理教学模式创新与实践

为了解决固体物理课程学习中的难点,授课时引入开源Quantum ESPRESSO软件为学生提供全面的理论学习和实践训练。实践训练分为理论学习和实际操作两个阶段,使学生在理解固体物理的难点的同时获得实际操作经验。通过自主学习、实验报告的撰写和实操演示等分层次的学习方式,学生逐渐提升对固体物理的整体理解水平。学生对这一学习方式的反应良好。Quantum ESPRESSO软件为学生提供了先进的学习工具,有效提高了固体物理课程的学习效果。

开源软件供应链安全问题引发关注

4月教育网运行整体平稳,没有发现重大的安全事件。在病毒与木马方面,数据显示,2024年一季度以来,勒索病毒的攻击数量又呈现增长趋势。目前勒索病毒的产业模式已经升级到RaaS(软件即服务)模式,攻击目标也指向那些价值更高的服务器。由于RaaS模式会大大降低勒索攻击的门槛,后期这类攻击也将呈现继续增长的趋势.

开源软件漏洞感知技术综述

随着现代软件规模不断扩大,软件漏洞给计算机系统和软件的安全运行、可靠性造成了极大的威胁,进而给人们的生产生活造成巨大的损失.近年来,随着开源软件的广泛使用,其安全问题受到广泛关注.漏洞感知技术可以有效地帮助开源软件用户在漏洞纰漏之前提前感知到漏洞的存在,从而进行有效防御.与传统软件的漏洞检测不同,开源漏洞的透明性和协同性给开源软件的漏洞感知带来巨大的挑战.因此,有许多学者和从业人员提出多种技术,从代码和开源社区中感知开源软件中潜在的漏洞和风险,以尽早发现开源软件中的漏洞从而降低漏洞所带来的损失.为了促进开源软件漏洞感知技术的发展,对已有研究成果进行系统的梳理、总结和点评.选取45篇开源漏洞感知技术的高水平论文,将其分为3大类:基于代码的漏洞感知技术、基于开源社区讨论的漏洞感知技术和基于软件补丁的漏洞感知技术,并对其进行系统地梳理、归纳和总结.值得注意的是,根据近几年最新研究的总结,首次提出基于开源软件漏洞生命周期的感知技术分类,对已有的漏洞感知技术分类进行补充和完善.最后,探索该领域的挑战,并对未来研究的方向进行展望.

Patch-Locator:一种基于排序学习的开源软件漏洞补丁定位方法

日益增多的开源软件漏洞对软件安全带来了巨大的风险,补丁在应对这一风险的过程中扮演了非常重要的角色.不幸的是,尽管大部分漏洞的补丁在被披露前就已经开发完毕,但仅有部分补丁会随漏洞同步公开.现有的研究发现了漏洞与其补丁之间存在一定的相关性,并基于这些相关性特征对提交进行了排序,以定位漏洞的补丁,但仍旧存在漏洞数据部分缺失、定位准确率不佳等问题.本文提出了Patch-Locator,一种新的基于排序学习的补丁定位方法,通过扩展漏洞数据源对漏洞数据进行补充,并根据漏洞与补丁文本的相似性、漏洞产生的原因和导致的结果等更能反映漏洞与补丁间关联的因素提取了更具有针对性的相关性特征,并使用LambdaMart排序学习模型对提交基于其具有的相关性特征进行排序以定位安全补丁.本文用来自10个开源软件项目的1669个漏洞来评估Patch-Locator.实验结果表明,Patch-Locator的Recall@1指标为92.22%,Recall@5指标为95.51%,Manual Effort@5指标为1.2455,均优于现有方法.

开源软件供应链研究综述

开源软件已经成为现代社会的一项关键基础设施,支撑着几乎所有领域的软件开发.通过安装依赖、API调用、项目fork、文件拷贝和代码克隆等形式的代码复用,开源软件之间形成了错综复杂的供应(依赖)关系网络,被称为开源软件供应链.一方面,开源软件供应链为软件开发提供了便利,已然成为软件行业的基石.另一方面,上游软件的风险可以沿着开源软件供应链波及众多的下游软件,使开源软件供应链呈现牵一发而动全身的特点.开源软件供应链近年来逐渐成为学术界和工业界的关注焦点.为了帮助增进研究人员对开源软件供应链的认识,从整体性的角度,对开源软件供应链给出定义和研究框架;然后,对国内外的研究工作进行系统文献调研,总结结构与演化、风险传播与管理、依赖管理3个方面的研究现状;最后,展望开源软件供应链的研究挑战和未来研究方向.

开源软件开发者价值评估体系及其实证研究

如何科学客观地评估开源软件开发者的价值是开源领域面临的一个重要问题。现有研究方法存在评估指标较单一、指标权重难以确定等问题。针对这些问题,依据开源生态大数据分析,结合主客观评估方法,提出了一种多维度、多层次的开源软件开发者价值评估体系。综合考虑开发者在项目管理、编程、团队协作、学习、敬业度等方面的表现,通过5个一级指标、12个二级指标和7个三级指标,较全面和客观地评估开源软件开发者的能力和价值。采用Critic方法确定各维度指标的权重,解决了经验权重导致的准确性不高的问题。最后,采用Github 2020年全域开源生态数据,展开了多组实证研究,验证了开源社区开发者价值评估体系的有效性和可行性,为开源软件人才的培养、发现和管理提供了一种客观、科学且操作性较强的衡量方法。实验代码可从Github平台获取^(1))。

开源软件供应链发展现状及对策建议

开源是人类社会协同创新、开放共享的成功实践和应用典范,开源也是国际竞争和科技创新的新焦点,“拥抱开源”已成为世界的广泛共识。于我国而言,开源技术是新一代信息技术发展的基础和动力,尤其是在推动信息技术应用创新生态建设和数字化转型方面其重要性愈发突出,作用愈发彰显。开源软件安全作为软件供应链安全的重要环节,面临着安全漏洞、知识产权和开源管制等风险。在此背景下,有必要对我国开源软件供应链发展现状和趋势进行分析,对存在的问题和面临挑战进行总结,并提出相应的对策建议。

开源软件供应链安全风险分析研究

开源软件已经成为支撑数字社会正常运转的最基本元素之一,渗透到各个行业和领域.随着开源软件供应链越发复杂多元,开源软件供应链安全攻击事件造成的危害也越发严重.梳理了开源软件供应链生态发展现状和世界主要国家开源软件供应链安全战略布局,从开源软件开发安全、使用安全和运营安全维度,提出了开源软件供应链安全风险分析体系,给出当前开源软件供应链面临的主要安全风险,构建了开源软件供应链安全保障模型,并从供应链环节、相关主体和保障措施3个维度提出我国开源软件供应链安全与发展对策建议.

软件著作权侵权“开源抗辩”解析

开源是构筑新质生产力的有力支撑,开源软件的有效治理是知识产权强国建设的重点和关键举措之一。在软件著作权侵权纠纷中,开源软件“群智激发→群智汇聚→群智创新”的共创模式促发了“开源抗辩”这一新型侵权抗辩事由。广义的“开源抗辩”包括潜在侵权方基于涉案软件开源特性提出的抗辩,狭义的“开源抗辩”则是立足于开源许可证的不侵权抗辩。解析“开源抗辩”,应认识到开源软件具备构成合作作品的可能性,同时应基于开源贡献者协议为其著作权权属认定留出意定空间。开源软件与派生软件间“开源抗辩”的判断重点在于是否遵循开源许可证,基于开源软件开发的派生软件与再派生软件间“开源抗辩”的本质则属于非法演绎作品的可版权性争议,应秉持“违约-侵权”二分的基本原则,在认可非法派生软件可版权性的基础上,完善开源许可证条款,并设立软件著作权集体管理组织。

开源软件成熟度评估模型研究综述

开源软件允许用户免费使用、学习、修改和再分发,具有降低软件开发成本、加速产品迭代等优点,被各领域广泛采用。随着开源软件数量急剧增长,如何对开源软件进行评估和选择成为用户面临的重要难题。对经典的开源软件成熟度评估模型进行系统分类,并分别对通用的开源软件成熟度评估模型以及开源基金会的评估模型进行详细描述和对比分析。

中国开源软件创新发展研讨会于长沙成功举办

2024年2月21日,由CCF长沙、CCF开源发展委员会主办,长沙理工大学计算机与通信工程学院承办的中国开源软件创新发展研讨会在长沙理工大学金盆岭校区成功举办。该研讨会由CCF长沙秘书长、长沙理工大学计算机与通信工程学院院长张锦教授主持。

开源软件漏洞治理的挑战与对策建议

自互联网时代来临以来,开源软件为新一代信息技术的创新发展做出了巨大贡献,同时,开源软件漏洞数量也在持续增加。由于开源软件的开放性和共享性特质,其影响范围与深度也日益扩大。通过分析开源软件和闭源软件的区别,指出了建立开源软件漏洞治理体系的必要性,从开源用户、开源社区、代码托管平台等主体出发,研究发现开源软件漏洞治理存在安全意识缺乏、安全资源投入有限、漏洞情报获取信息差等问题。基于此,提出营造安全氛围、推进开源项目高质量发展、建立开源公共服务平台等对策建议,以期为相关研究和实际应用提供参考。

基于开源软件的地理计算研究生课程教学研究

地理计算是地球信息科学研究生开展研究工作的基本操作,开源地理软件能快速有效地处理地理数据集,并能通过编程语言集成到工作流中解决复杂研究问题。利用开源地理软件进行数据处理与分析,能帮助研究生提升科研技能。以笔者开设的《GIS编程》研究生课程教学中采用开源GIS结合计算机编程处理地理数据为基础,对相关的课程教学内容设置与教学实践进行了探讨,总结了开展研究生GIS编程课程教学实践面临的问题,为相关课程设置提供建议。

基于AIGC的开源软件供应链风险识别

开源软件作为现代信息产业的核心组成部分,不仅在促进技术共享、降低成本以及提升社会经济效益方面发挥重要作用,而且对信息技术的持续发展产生深远的影响。然而,随着开源软件生态的不断壮大,其供应链关系日趋复杂化,安全风险也随之显著增加。因此,识别和应对开源软件供应链中的风险变得尤为关键。通过文献调研和分析,系统地总结开源软件供应链中各个环节的典型风险点,将生成式人工智能(AIGC)技术应用于这些风险点的识别进行深入分析,为在AI时代开源软件供应链风险管理提供新的视角和方法。

美国《开源软件安全倡议摘要报告》分析与启示

近年来,开源软件受攻击事件呈快速增长态势,引发的危害愈加严重,开源软件安全治理成为国际重要议题。作为开源生态建设的供给者、贡献者和主导者,美国认识到开源软件无处不在,安全风险也相伴相生,将开源软件安全治理上升为国家关键优先事项,从国家战略、政策法规、标准指南等多维度推进开源软件安全保护工作。本文旨在分析美国《开源软件安全倡议摘要报告》,借鉴美国开源软件安全治理最新实践做法,以期完善我国开源安全治理工作。建议从健全开源软件安全风险管理体系、提升自身技术研发水平、加快开源生态基础设施建设、增强国际开源生态建设话语权四方面完善我国开源安全治理工作。

开源软件供应链基础设施平台的演进及影响研究

在数字化的时代,开源软件供应链基础设施平台显著推动着信息产业中软件开发生态[1]系统的协同发展和代码质量的提升。深入研究了该类型平台的演进历程,从最早的版本控制系统演变至现代的协作和社区平台,涵盖了持续集成和交付工具、开源许可和法律工具以及软件包管理和其依赖关系管理[2]等方面。通过分析开源软件供应链基础设施平台的影响,阐述其提高软件开发效率和质量、促进知识共享和协作、推动创新和社会进步等方面[3]的作用。最后本文阐述了开源软件供应链基础设施平台的重要性,并展望了其在数字时代的发展前景。

开源软件协议GPL及协议隔离研究

通用公共许可证协议(GeneralPublicLicense,GPL)是当今世界上最广泛使用的开源软件协议,许多重要的开源软件均基于此协议。GPL在推动开源软件的发展上做出了卓越的贡献,但其特有的版权(Copyleft)要求具有一定的传染性,导致企业在使用遵循GPL协议的开源软件上面临许多限制。因此,在商业软件和产品中使用遵循GPL协议的软件时,需谨慎行事。文章详细分析GPL协议的起源和发展,提出了一些避免GPL协议过度保护的方法和示例,以便在商业产品中合理使用GPL开源软件,降低知识产权风险,并保护自身的知识产权。

开源软件供应链安全展望

随着科学的进步与发展,ICT(信息与通信技术)供应链在生活生产中起到越来越重要的作用。开源软件供应链是其中一环,也是各类关键信息基础设施的重要基础。与此同时,软件供应链逐步趋于复杂化和多样化,其安全风险不断加剧,日益受到学术界和产业界的重视。首先,从软件使用和软件攻击2个方面分析开源软件供应链所存在的安全问题;然后,对国内外的研究工作进行调研,总结软件物料清单技术、软件供应链安全检测技术、软件数据安全保护技术3个方面的发展现状;最后,提出在开源软件开发和使用各环节应采取的安全防范措施,以全面保障开源软件供应链安全。